TheMoon 恶意软件短时间感染 6,000 台华硕路由器以获取代理服务

文章目录

    • 针对华硕路由器
    • Faceless代理服务
    • 预防措施

一种名为"TheMoon"的新变种恶意软件僵尸网络已经被发现正在侵入全球88个国家数千台过时的小型办公室与家庭办公室(SOHO)路由器以及物联网设备。

"TheMoon"与“Faceless”代理服务有关联,该服务利用部分被感染设备充当代理服务器,为想要匿名进行恶意活动的网络犯罪分子转发流量。

黑莲花实验室的研究人员一直在监测始于2024年3月初的最新一轮TheMoon攻击活动,并在72小时内观察到至少6000台华硕(ASUS)路由器成为攻击目标。

威胁分析专家报告指出,目前诸如IcedID和SolarMarker等恶意软件行动正利用该代理僵尸网络混淆其在线活动以掩盖踪迹。
在这里插入图片描述

针对华硕路由器

"TheMoon"早在2014年就被研究人员首次发现,当时警告称该恶意软件正在利用漏洞感染LinkSys设备。

最近的一轮恶意软件攻击活动中,在短短一周内就有近7000台设备被感染,黑莲花实验室表示其主要
目标是华硕路由器。

通过Lumen公司的全球网络监控能力,黑莲花实验室已经识别出“Faceless”代理服务的逻辑结构图,其中一场始于2024年3月第一周的攻击活动,在不到72小时的时间里就瞄准并成功感染了超过6000台华硕路由器。

尽管研究人员并未明确说明用于突破华硕路由器的确切方法,但鉴于这些遭攻击的设备型号已达到生命周期末期,攻击者很可能利用的是固件中存在的已知漏洞。
攻击者可能还会采用暴力破解手段尝试获取管理员密码,或是测试默认及弱口令凭据。

一旦恶意软件成功进入设备,它会检查是否存在特定的shell环境(例如"/bin/bash"、“/bin/ash"或”/bin/sh"),如果不存在,则停止执行。

若检测到兼容的shell环境,加载器将解密、释放并执行一个名为".nttpd"的payload,这个payload会在运行时创建一个带有版本号(目前为26)的PID文件。

接下来,恶意软件设置iptables规则,拒绝所有进来的TCP端口8080和80的流量,同时允许特定IP范围内的流量通过。这一策略确保了被控制的设备免受外部干扰。

随后,恶意软件尝试连接一系列合法的NTP服务器,以检测沙箱环境并验证互联网连接状况。

最后,恶意软件通过循环遍历一组硬编码的IP地址来连接命令与控制(C2)服务器,C2服务器则回应相应的指令。

在某些情况下,C2服务器可能会指示恶意软件获取额外组件,比如蠕虫模块,该模块用于扫描端口80和8080上的易受攻击的Web服务器,或者“.sox”文件,它们在被感染设备上进行流量代理。
在这里插入图片描述

Faceless代理服务

“Faceless”是一个网络犯罪代理服务,专门为那些仅使用加密货币支付的客户提供服务,通过利用受损设备路由网络流量。该服务并不执行“了解你的客户”(KYC)身份验证流程,因此对任何人开放使用。
在这里插入图片描述
为了防止其基础设施被研究人员追踪,“Faceless”运营者确保每个被感染的设备在整个感染期间仅与一台服务器通信。

黑莲花实验室报告显示,三分之一的感染持续时间超过50天,而有15%的感染在48小时内即被清除。这意味着后者的监控更加到位,且能够快速检测到设备被入侵的情况。
在这里插入图片描述
虽然"TheMoon"与"Faceless"之间存在明显的关联,但这两种操作似乎是独立的网络犯罪生态系统,因为并非所有恶意软件感染都会成为“Faceless”代理僵尸网络的一部分。

预防措施

为了防御此类僵尸网络,建议:

  1. 使用强密码作为管理员账户。
  2. 将设备固件升级至最新版本以修复已知漏洞。
  3. 若设备已达到使用寿命终点(EoL),应更换为仍在提供支持的新型号。ASUS 路由器EOL查询链接:https://www.asus.com/event/network/EOL-product/

路由器和物联网设备遭受恶意软件感染的一些常见迹象包括网络连接问题、设备过热以及设置出现异常更改。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/289914.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Leetcode 128. 最长连续序列

心路历程: 这道题一开始没想出来该怎么做,以看到要求O(N)的时间复杂度,第一反应是用双指针,但是后来发现双指针很难和连续这个概念联系起来。后来发现集合的查询复杂度是O(1)的,在一次遍历中可以进行任意次数的查询。…

【python】flask模板渲染引擎Jinja2中的模板继承,简化前端模块化开发

✨✨ 欢迎大家来到景天科技苑✨✨ 🎈🎈 养成好习惯,先赞后看哦~🎈🎈 🏆 作者简介:景天科技苑 🏆《头衔》:大厂架构师,华为云开发者社区专家博主,…

aws 入门篇 01.aws学习的方法论

aws入门篇 01.aws学习的方法论 第1章 aws学习的方法论 aws的服务很多,现在应该有100多个服务了,怎么来学习aws呢? 这几年也使用了一些aws的服务,谈谈自己对学习aws的理解。 1.先横向,后纵深 比如说,aws最…

LLM之RAG实战(三十五)| 使用LangChain的3种query扩展来优化RAG

RAG有时无法从矢量数据库中检索到正确的文档。比如我们问如下问题: 从1980年到1990年,国际象棋的规则是什么? RAG在矢量数据库中进行相似性搜索,来查询与国际象棋规则问题相关的相关文档。然而,在某些情况下&#xff0…

JAVA使用POI实现Excel单元格合并-02

JAVA使用POI实现Excel单元格合并 实现效果 解释&#xff1a;只要是遇见与前一行相同的数据就合并 引入jar <dependency><groupId>org.apache.poi</groupId><artifactId>poi-ooxml</artifactId><version>5.2.2</version></depe…

乐维更改IP地址

1.1 系统IP调整 vim /etc/sysconfig/network-scripts/ifcfg-ens1921.2 Web相关服务IP变更 1.2.1 编辑/itops/nginx/html/lwjkapp/.env文件,更改ZABBIXSERVER、ZABBIXRPCURL、DB_HOST中的IP 1.2.2 进入/itops/nginx/html/lwjk_app/目录下,执行php bin/manager process-conso…

Intellij IDEA安装配置Spark与运行

目录 Scala配置教程 配置Spark运行环境 编写Spark程序 1、包和导入 2、定义对象 3、主函数 4、创建Spark配置和上下文 5、定义输入文件路径 6、单词计数逻辑 7、输出结果 8、完整代码&#xff1a; Scala配置教程 IDEA配置Scala&#xff1a;教程 配置Spark运行环境 …

HTTP

HTTP 概念&#xff1a;HyperTextTransferProtocol&#xff0c;超文本传输协议&#xff0c;规定了浏览器和服务器之间数据传输的规则 HTTP协议特点&#xff1a; 1.基于TCP协议&#xff1a;面向连接&#xff0c;安全 2.基于请求-响应模型的&#xff1a;一次请求对应一次响应 …

【计算机网络】第 9 问:四种信道划分介质访问控制?

目录 正文什么是信道划分介质访问控制&#xff1f;什么是多路复用技术&#xff1f;四种信道划分介质访问控制1. 频分多路复用 FDM2. 时分多路复用 TDM3. 波分多路复用 WDM4. 码分多路复用 CDM 正文 什么是信道划分介质访问控制&#xff1f; 信道划分介质访问控制&#xff08;…

RabbitMQ 实验消费原始队列消息, 拒绝(reject)投递死信交换机过程

如果你想通过 RabbitMQ 的死信队列功能实现消费者拒绝消息投递到死信交换机的行为&#xff0c;你可以按照以下步骤操作&#xff1a; 创建原始队列&#xff0c;并将其绑定到一个交换机上&#xff1a; export RABBITMQ_SERVER127.0.0.1 export RABBITMQ_PORT5672 export RAB…

WordPress Git主题 响应式CMS主题模板

分享的是新版本&#xff0c;旧版本少了很多功能&#xff0c;尤其在新版支持自动更新后&#xff0c;该主题可以用来搭建个人博客&#xff0c;素材下载网站&#xff0c;图片站等 主题特点 兼容 IE9、谷歌 Chrome 、火狐 Firefox 等主流浏览器 扁平化的设计加响应式布局&#x…

Xcode删除原本的Git,再添加新的git

本文参考&#xff1a;Xcode怎么删除原本git,在重新设置新的git地址_ios xcode 删除原本git-CSDN博客 开发中会有一个问题。Xcode项目A 提交到Git服务器server1&#xff0c;此时项目A内部已经存在一个Git文件&#xff0c;与server1相关联。 此时你想将项目A提交到 另一个Git…

verilog设计-cdc:多比特信号跨时钟域(DMUX)

一、前言 多比特一般为数据&#xff0c;其在跨时钟域传输的过程中有多种处理方式&#xff0c;比如DMUX&#xff0c;异步FIFO&#xff0c;双口RAM&#xff0c;握手处理。本文介绍通过DMUX的方式传输多比特信号。 二、DMUX同步跨时钟域数据 dmux表示数据分配器&#xff0c;该方…

GPT-1原理-Improving Language Understanding by Generative Pre-Training

文章目录 前言提出动机模型猜想模型提出模型结构模型参数 模型预训练训练的目标训练方式训练参数预训练数据集预训练疑问点 模型微调模型输入范式模型训练微调建议微调疑问点 实验结果分析 前言 首先想感慨一波 这是当下最流行的大模型的的开篇之作&#xff0c;由OpenAI提出。…

程序员35岁会失业吗?

在科技日新月异的时代&#xff0c;程序员这一职业群体成为了社会发展的重要推动力。然而&#xff0c;随着技术的不断更新迭代和职场竞争的加剧&#xff0c;许多程序员开始担忧自己的职业前景&#xff0c;特别是那些即将步入或已经步入35岁的程序员。他们面临着一个现实的问题&a…

专业130+总分410+西南交通大学924信号与系统考研经验西南交大电子信息通信工程,真题,大纲,参考书。

初试分数出来&#xff0c;专业课924信号与系统130&#xff0c;总分410&#xff0c;整体上发挥正常&#xff0c;但是还有遗憾&#xff0c;其实自己可以做的更好&#xff0c;总结一下经验&#xff0c;希望对大家有所帮助。专业课&#xff1a;&#xff08;130&#xff09; 西南交…

【React】onClick点击事件传参的4种方式

记录React onClick 点击事件传参的 4 种方式 方式一&#xff1a;使用内联箭头函数 import React, { MouseEvent } from "react";function App() {const handleClick (event: MouseEvent<HTMLButtonElement>, name: string) > {console.log(event)console.…

Nginx第三方模块---nginx-sticky-module的使用(基于cookie的会话保持)

目录 Nginx和Sticky介绍 编译安装sticky的nginx环境 安装过程碰到的问题和编译安装过程遇到的错误&#xff1a; &#xff08;1&#xff09;第一个错误&#xff1a;修改源代码ngx_http_sticky_module.c &#xff08;2&#xff09;第二个错误&#xff1a;修改源代码ngx_http_s…

本地部署大模型的几种工具(上-相关使用)

目录 前言 为什么本地部署 目前的工具 vllm 介绍 下载模型 安装vllm 运行 存在问题 chatglm.cpp 介绍 下载 安装 运行 命令行运行 webdemo运行 GPU推理 ollama 介绍 下载 运行 运行不同参数量的模型 存在问题 lmstudio 介绍 下载 使用 下载模型文件…

2024最新版克魔助手抓包教程(9) - 克魔助手 IOS 数据抓包

引言 在移动应用程序的开发中&#xff0c;了解应用程序的网络通信是至关重要的。数据抓包是一种很好的方法&#xff0c;可以让我们分析应用程序的网络请求和响应&#xff0c;了解应用程序的网络操作情况。克魔助手是一款非常强大的抓包工具&#xff0c;可以帮助我们在 Android …